关于本方法论系列
本文是李荣维律师团队“非诉风控六维方法论”系列的第三篇。该系列基于交易成本理论、委托代理理论与全面风险管理理论,围绕企业全生命周期中的六大高频风险场景,构建了一套可落地、可复制、可验证的非诉风控判断框架。六篇方法论既各自独立成篇,又相互支撑、形成闭环:
第一篇:商事交易风控方法论——解决信息不对称问题,聚焦交易中的尽调、谈判、合同与履约风险。
第二篇:公司治理风控方法论——解决控制权与股东博弈问题,聚焦股权架构、章程设计、股东进退机制。
本篇:行政监管与合规风控方法论——解决公权对接与监管危机问题,聚焦合规体检、涉案整改、行政处罚应对。
后续两篇分别为:知识产权与数据资产风控(解决无形资产的确权与合规利用问题)、人力资源与高管责任风控(解决核心人才法律风险问题)、家族财富与刑事风控(解决资产隔离与人身安全底线问题)。
读者在阅读本文时会注意到,部分合规问题会自然延伸到其他维度——数据合规问题指向第四篇,劳动用工合规问题指向第五篇,刑事合规风险指向第六篇。本文处理企业与公权力机关之间的合规与监管问题,其他维度由对应篇章处理。
摘要
行政监管与合规风控面临的核心命题是:企业在面对行政监管和刑事追诉时,如何通过制度化的合规管理实现风险的有效管控。与一般的企业合规不同,行政监管与合规风控的本质特征在于其与公权力机关的直接对接属性——律师的核心价值不在于撰写合规制度文本,而在于代理企业与公权力机关进行有效对话。2021年最高人民检察院推动的涉案企业合规改革试点,以及2025年新修订的《涉案企业合规第三方监督评估机制实施细则》,为这一领域提供了全新的制度框架。2025年修订的《上市公司信息披露管理办法》将可持续发展报告纳入法定披露范畴,ESG合规成为企业新的合规义务。李荣维律师团队在多年合规实务中,逐步形成了一套以“风险识别→合规体检→危机应对→持续运行”为闭环的判断逻辑框架。本文是对该框架的系统整理:涵盖合规风险的来源类型化分析、常态化合规体检的操作逻辑、行政处罚的应对路径、涉案企业合规不起诉的专项操作、穿透式审判对合规设计的约束、以及ESG合规等新型合规义务的应对。本文同时建立了可验证的指标体系,使方法论的效果可追溯、可衡量。
关键词:行政监管风控;企业合规;合规不起诉;第三方监督评估;行政处罚应对;ESG合规
引言:方法论的定位
行政监管与合规风控的方法论,是一套判断的逻辑,而非一套指令的集合。
它回答的是:当企业面临行政监管压力或刑事追诉风险时,律师需要从哪些维度去思考、采取哪些措施,才能形成有效的应对方案。它不提供标准答案——因为每一家企业的合规风险都不同。但它提供思考的工具箱,确保在任何一家企业的合规风控中,律师都不会漏掉该问的问题。
这套方法论有一个区别于其他五篇的显著特征:合规风控的核心不是制度建设,而是“与公权力机关的对话能力” 。企业可以写出一套完美的合规制度文本,但如果不能获得监管机关和司法机关的认可,这套制度就没有实际价值。律师在合规风控中的不可替代性,正在于其具备对接公权力机关的法定资质和沟通能力。
关于本方法论的实务验证,李荣维律师团队在近年来的合规体检、行政处罚应对、涉案企业合规整改等类型项目中持续检验和完善了这套框架。下文各章节的判断逻辑与验证节点,均来源于团队对这些项目实务经验的提炼与总结。
第一章:合规风险的来源——四类风险的穷尽分类
行政监管与合规风险,穷尽而言,只有四个来源:
一、日常经营中的行政违法风险
行政违法风险是企业日常经营中最常见的合规风险。其成因是企业经营行为不符合行政法规的要求。表现形式极为广泛:税务违法(偷税漏税、虚开发票、未按时申报);劳动用工违法(未签劳动合同、未缴社保、违法解除);环保违法(超标排放、未办理环评、危废处置不合规);安全生产违法(未建立安全制度、发生安全事故未报告);市场监管违法(虚假广告、不正当竞争、产品质量不合格);数据与网络安全违法(违规收集个人信息、数据泄露未报告)。
据公开报道,2025年修订的《上市公司信息披露管理办法》将ESG报告纳入法定披露范畴。ESG合规已成为企业新的合规义务来源。环境(E)、社会(S)和治理(G)三个维度的合规要求,正在从“自愿披露”向“强制合规”转变。
二、监管调查与处罚风险
监管调查与处罚风险的成因是监管机关主动或被动启动了对企业的调查程序。典型表现包括:收到监管机关的调查通知或问询函;监管机关上门检查或稽查;收到行政处罚事先告知书;企业被列入经营异常名录或严重违法失信名单。
2025年1月27日,市场监管总局印发了《市场监管行政违法行为首违不罚、轻微免罚清单(一)》(国市监稽发〔2025〕10号),明确了“初次违法且危害后果轻微并及时改正的,可以不予行政处罚”的适用情形。对当事人实施首违不罚、轻微免罚的,要责令其立即停止违法行为,广泛运用说服教育、劝导示范、指导约谈等方式,督促引导当事人积极整改。这一制度为企业应对轻微行政违法提供了“容错纠错”的空间,但也要求企业在发现违法行为后第一时间采取整改措施。
三、刑事追诉风险
刑事追诉风险是企业合规风险中后果最严重的一类。其成因是企业或其高管的行为涉嫌犯罪。典型表现包括:企业被立案侦查;企业收到移送审查起诉告知书;企业高管被采取刑事强制措施。
根据最高人民检察院推动的涉案企业合规改革,第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。适用第三方机制需要满足三个条件:涉案企业或人员认罪认罚;涉案企业能够正常生产经营并承诺建立或完善企业合规制度;涉案企业自愿适用第三方机制。
四、合规体系失效风险
合规体系失效风险的成因是企业虽有合规制度但未能有效运行。典型表现包括:合规制度“上墙不落地”——制度文件齐全但无人执行;合规岗位“有名无实”——合规人员挂名但无实质职权;合规培训“走过场”——培训有签到但无效果。
李荣维律师团队在合规实务中注意到,实践中部分企业的合规整改存在“假台账”(补签文件)、“假测试”(预设场景演练)、“假架构”(挂名合规岗位)等“三假现象”。2025年新修订的《涉案企业合规第三方监督评估机制实施细则》明确要求,评估报告需重点核查“合规整改的真实性、有效性和持续性”。验收评估应当成为企业合规治理的“CT扫描仪”而非“美颜相机”。
可验证节点: 每发现一个合规风险事项,即判断其属于四类中的哪一类,并在工作底稿中记录分类依据。事后审查可追溯:对每个风险事项的分类理由是否成立。
第二章:合规体检的判断逻辑——常态化的风险排查
合规体检是行政监管与合规风控的基础环节。其目的是在企业尚未面临具体监管压力时,主动排查合规风险,在问题爆发之前先行整改。
一、合规体检需要覆盖的十大领域
第一个领域是税务合规。需要排查:纳税申报是否及时准确、有无欠税或漏税、有无虚开发票嫌疑、税务稽查历史及处理结果。近年来,税务机关对涉税违规案件的处罚标准通常是少缴漏缴税款的30%至2倍。
第二个领域是劳动用工合规。需要排查:劳动合同签署率、社保和公积金缴纳基数是否合规、工伤处理是否规范、劳动争议历史及处理结果。
第三个领域是环保合规。需要排查:环评批复是否齐全、排污许可证是否有效、环保设施是否通过验收、有无环保投诉或处罚记录。
第四个领域是安全生产合规。需要排查:安全评价报告是否有效、安全设施是否通过验收、有无安全事故记录、安全生产制度是否健全。
第五个领域是市场监管合规。需要排查:广告宣传物料是否合法、产品标签是否合规、有无不正当竞争行为、有无消费者投诉或举报。
第六个领域是数据与网络安全合规。需要排查:用户协议和隐私政策是否合规、数据收集范围是否合法、数据存储是否安全、有无数据泄露事件。2025年2月12日公布、5月1日起施行的《个人信息保护合规审计管理办法》,标志着个人信息保护合规审计从“倡导性合规”迈向了“强制性合规”的新阶段。
第七个领域是反商业贿赂合规。需要排查:费用报销记录是否真实、礼品招待制度是否合规、有无向公职人员输送利益的行为、反贿赂制度是否健全。
第八个领域是招投标合规。需要排查:投标文件是否真实、有无围标串标嫌疑、有无与招标方的不当往来。
第九个领域是资质许可合规。需要排查:全部经营资质和许可证是否齐全、是否在有效期内、有无被吊销或撤销的风险。
第十个领域是ESG合规。需要排查:企业是否满足环境(E)方面的排放标准和环保要求;社会(S)方面的劳工权益、供应链责任、社区关系是否合规;治理(G)方面的董事会构成、信息披露、反腐败制度是否健全。2025年修订的《上市公司信息披露管理办法》第六十五条明确提出“上市公司按照证券交易所的规定发布可持续发展报告”,证监会已将ESG报告纳入法定披露范畴。
二、合规体检的四个判断维度
严重程度判断。 每个合规风险点需要评估其严重程度——是否涉及刑事风险、是否可能导致停业或吊证、是否可能面临高额罚款、是否仅涉及程序性瑕疵。
发生概率判断。 需要评估每个风险点实际发生的可能性——是已经被监管机关注意到、还是仅存在理论上的风险。
发现难度判断。 需要评估每个风险点是否容易被监管机关发现——是已经在监管系统中留下记录、还是仅存在于企业内部。
整改难度判断。 需要评估每个风险点的整改成本和时间——是可以通过制度完善快速解决、还是需要投入大量资源长期整改。
可验证节点: 合规体检报告应逐项列明每个风险点的上述四个判断维度,并给出优先级排序。客户应书面确认已接收全部风险告知。
第三章:行政处罚的应对逻辑——从被动受罚到主动沟通
行政处罚是企业最常面临的监管危机。应对行政处罚的核心逻辑是:在处罚决定作出之前,尽可能通过沟通和整改减轻或避免处罚。
一、行政处罚应对的三个阶段
第一阶段:调查介入期。 从企业收到调查通知或监管机关上门检查开始,到行政处罚事先告知书送达为止。这一阶段的应对重点是:全面了解调查事由和范围;配合调查但不过度披露;评估是否可能适用首违不罚或轻微免罚等制度;启动内部自查和证据准备。
根据《行政处罚法》第三十三条规定,“初次违法且危害后果轻微并及时改正的,可以不予行政处罚”。2025年市场监管总局发布的首违不罚、轻微免罚清单进一步明确了适用条件。如果企业的违法行为符合“首违不罚”或“轻微免罚”的条件,律师应在此阶段即向处罚机关提出书面意见,争取不予处罚。
第二阶段:听证与申辩期。 从收到行政处罚事先告知书到处罚决定作出之间,通常有听证和申辩的机会。这一阶段的应对重点是:对事实认定和法律适用提出异议;提交有利于企业的证据材料;争取降低处罚金额或改变处罚方式;必要时申请听证。
根据《行政处罚法》第六十三条规定,行政机关拟作出较大数额罚款、没收较大数额违法所得、吊销许可证件等行政处罚决定的,应当告知当事人有要求听证的权利。当事人要求听证的,行政机关应当组织听证。律师应当积极行使听证权利,在听证程序中充分阐述辩护意见。
第三阶段:处罚决定后。 处罚决定作出后,企业仍有救济途径。这一阶段的应对重点是:评估是否申请行政复议或提起行政诉讼;评估是否适用信用修复机制;落实整改措施防止再犯。
二、行政处罚应对中的判断逻辑
判断一:违法事实是否成立。 如果事实认定有误,应当全力抗辩——提交反证、申请重新调查、申请听证。
判断二:法律适用是否正确。 如果处罚依据的法律法规适用不当,应当提出法律意见——指出应适用的正确条款、说明适用错误的法律后果。
判断三:处罚幅度是否适当。 如果处罚过重,应当争取减轻——提交从轻或减轻处罚的法定理由(如主动消除危害后果、积极配合调查、初次违法等)。
判断四:是否有替代方案。 如果处罚不可避免,应当争取替代方案——以整改代替罚款、以警告代替吊证、以限期改正代替立即执行。
可验证节点: 行政处罚应对的每一阶段应有书面记录——调查阶段的配合记录、听证阶段的陈述申辩材料、处罚后的整改记录。事后审查应能追溯每一阶段的应对策略是否合理、是否穷尽了救济途径。
第四章:涉案企业合规不起诉——专项操作逻辑
涉案企业合规不起诉是近年来刑事司法领域最重要的改革之一,也是行政监管与合规风控中律师价值最突出的领域。
一、制度框架
2021年6月,最高人民检察院会同司法部、财政部、生态环境部、国务院国-资-委、国家税务总局、国家市场监管总局、全国工商联、中国贸促会联合印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。第三方机制是指人民检察院在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交由第三方监督评估机制管理委员会选任组成的第三方监督评估组织,对涉案企业的合规承诺进行调查、评估、监督和考察,考察结果作为人民检察院依法处理案件的重要参考。
适用第三方机制需要满足三个条件:涉案企业或人员认罪认罚;涉案企业能够正常生产经营并承诺建立或者完善企业合规制度;涉案企业自愿适用第三方机制。不适用合规改革的情形包括:个人为进行违法犯罪活动而设立公司企业的;公司企业设立后以实施犯罪为主要活动的;涉嫌危害国家安全犯罪、恐怖活动犯罪等。
2025年新修订的《涉案企业合规第三方监督评估机制实施细则》进一步明确,评估报告需重点核查“合规整改的真实性、有效性和持续性”。经过合规整改第三方评估管委会的审查后,法院将整改结果与认罪认罚从宽制度相结合,可对涉案企业的直接责任人员或主管人员从宽处罚。在审判阶段申请开展合规整改的,可以由人民法院视情直接组织开展;对符合相关条件的涉案企业,在第一审程序中未进行合规整改的,可以在第二审程序中开展合规整改。
截至2025年,全国适用第三方机制的案件已突破3000件。
二、合规不起诉的九步操作流程
第一步:紧急介入。 接到委托后24小时内,了解案情、会见当事人、评估是否具备适用合规改革的条件。核心判断:案件是否属于与生产经营活动密切相关的犯罪;企业是否认罪认罚;企业是否能够正常生产经营。
第二步:认罪认罚。 协助客户完成认罪认罚具结。认罪认罚是启动合规整改的前提条件——在不认罪案件中无法启动企业合规程序。
第三步:退赃退赔。 指导客户全额退缴违法所得、赔偿被害人。这是体现企业悔罪态度和整改诚意的关键环节。
第四步:申请启动第三方机制。 向检察院提交《适用合规第三方监督评估机制申请书》,阐明企业符合适用条件的事实和理由。
第五步:对接第三方组织。 对接第三方机制管委会,配合选定第三方组织成员。第三方组织的组成通常包括律师、会计师、行业专家等专业人员。
第六步:起草合规计划。 起草《合规计划书》,内容包括:问题诊断(犯罪原因分析)、整改措施(针对性制度设计)、时间表(分阶段整改计划)、责任人(落实到具体岗位和人员)、制度文本(配套合规制度文件)。
合规计划的重点不是“写得多”,而是“改得实”。实践中存在“制度上墙不落地”“文件合规而行为违规”的现象。一份合格的合规计划应当在经营实质、资金流向、决策痕迹三个维度上都有实质性安排。
第七步:落地整改。 逐项落实整改措施,全程留痕。每一阶段的整改都应有书面记录——会议纪要、制度文件、培训签到表、整改前后对比材料。所有材料都应经得起第三方组织的实质审查。
第八步:配合验收。 配合第三方组织现场检查、访谈、查阅资料。第三方组织会从经营实质、资金流向、决策痕迹三个维度进行实质性审查。协助撰写《整改验收报告》,确保报告真实反映整改情况。
2025年修订版《指导意见》明确,评估费用不得超过涉案金额的10%,专业技术服务需单独备案。第三方组织成员禁止将差旅费、食宿费转嫁企业承担。
第九步:跟进结果。 跟踪检察院最终处理决定——不起诉决定书或从宽处罚决定书。协助后续合规常态化管理。
三、合规整改中的“避坑”判断
“假整改”的识别与避免。 实践中部分企业以“零成本整改”应付合规要求——仅花费少量费用制作合规文件,被检察机关撤销不起诉决定并提起公诉。企业合规整改成本应当与涉案金额相匹配,对于“零成本整改”案件,检察机关可能启动强制复核程序。
验收材料的真实性。 验收材料造假将导致企业永久丧失合规不起诉资格。培训考试出现雷同试卷、重点岗位人员银行流水显示持续存在异常支付、董事会会议纪要未体现合规议题的实质性讨论,都是验收中的“红灯信号”。
持续合规的承诺。 合规整改不是“一次性工程”。企业需要在合规计划中承诺持续合规,并建立常态化的合规运行机制。第三方组织出具的虚假报告可能构成《刑法》第229条“提供虚假证明文件罪”。
可验证节点: 合规整改的全过程应有完整档案——从申请书到合规计划到整改记录到验收报告到最终司法文书。事后审查应能追溯每一步是否符合程序要求、是否经得起实质审查。
第五章:穿透式审判对合规设计的约束
穿透式审判思维同样适用于合规领域。企业在设计合规体系时,不能仅追求“形式合规”,还要确保“实质合规”。
一、“纸面合规”的法律风险
“纸面合规”是指企业虽有合规制度文件但并未真正执行。在穿透式审判思维下,“纸面合规”不仅不能成为企业的“免罚牌”,反而可能成为加重处罚的情节——因为它证明企业“明知合规要求而不执行”。
实践中,验收评估需要重点防范“三假现象”:假台账(补签文件)、假测试(预设场景演练)、假架构(挂名合规岗位)。检察机关正在建立“双盲核查”机制,即随机抽取未参与案件的第三方专家进行交叉验证,同时对企业中层人员进行隔离访谈。
二、合规体系有效性的判断标准
制度是否真正运行。 合规制度不是“上墙”就够了,要看是否在实际经营中运行——合规部门是否有实质职权、合规审查是否真正进行、合规培训是否真正产生效果。
风险是否真正管控。 合规体系的目的是管控风险,不是制作文件。要看制度实施后,同类风险是否真正降低、违规行为是否真正减少。
文化是否真正形成。 最高境界的合规是“我要合规”而非“要我合规”。要看企业是否形成了主动合规的文化氛围、员工是否自觉遵守合规要求。
可验证节点: 合规体系设计中应有“实质性审查自检”记录——是否存在“纸面合规”风险、制度是否具备可执行性、执行效果是否可验证。
第六章:合规风控的验证体系
一、合规风控效果的三级验证
过程验证验证的是是否按方法论执行了全部必要动作,验证方式是检查工作底稿和交付物清单,验证时机在交付前。
客户验证验证的是客户对合规风控效果的满意度,验证方式是客户回访和满意度评分(五分制,四分及以上为合格),验证时机在交付时和交付后六个月。
结果验证验证的是合规体系是否有效运行——是否发生新的行政处罚、是否发生新的合规风险事件、合规制度是否持续运行,验证时机在交付后十二个月。
二、过程验证标准(交付前自检)
交付前自检应当确认以下事项:合规体检是否覆盖全部十大领域;每个合规风险点是否已完成严重程度、发生概率、发现难度、整改难度四个维度的判断;行政处罚应对是否覆盖调查介入期、听证申辩期、处罚决定后三个阶段;涉案合规整改是否完成九步操作流程;合规计划是否在经营实质、资金流向、决策痕迹三个维度上都有实质性安排;合规体系是否存在“纸面合规”风险;是否通过了“实质性审查自检”;客户是否签署《合规风险确认书》。
三、结果验证标准(交付后十二个月)
交付后十二个月应当确认:是否发生了新的行政处罚(对比整改前后处罚金额和频次);是否发生了新的合规风险事件;合规制度是否持续运行(合规岗位是否在履职、合规审查是否在进行、合规培训是否在开展)。风险发现率的目标值不低于85%。客户满意度目标值为4分(五分制)以上。
结语
行政监管与合规风控的方法论,是一套判断的逻辑,而非一套指令的集合。李荣维律师团队在数年的实务探索中反复验证、不断修正,最终形成了这套框架。
它提供的框架可以概括为六层递进的判断逻辑:
第一层是判断风险来源。日常经营中的行政违法、监管调查与处罚、刑事追诉、合规体系失效——四类风险对应四类应对策略。
第二层是判断体检深度。十大领域的合规体检,每个风险点从严重程度、发生概率、发现难度、整改难度四个维度判断——体检的质量取决于判断的完整性。
第三层是判断处罚应对。调查介入期争取首违不罚、听证申辩期积极抗辩、处罚决定后寻求救济——三个阶段各有侧重。
第四层是判断合规整改。九步操作流程中,最关键的是合规计划的质量——是否在经营实质、资金流向、决策痕迹三个维度上都有实质性安排。
第五层是判断合规有效性。制度是否真正运行、风险是否真正管控、文化是否真正形成——三个标准检验合规体系是否“实”而非“纸面”。
第六层是判断司法可检验性。穿透式审判下,“纸面合规”不仅不能免责,反而可能成为加重情节——合规设计必须经得起实质审查。
这套框架的每一层,都在回答“应当考虑什么”,而不是“结论是什么”。具体结论取决于具体企业的行业特点、违规性质、监管态度,这些是变量,需要律师在具体场景中作出判断。
但判断的维度是确定的。无论企业面临的是日常合规管理、行政处罚应对还是刑事追诉风险——这六层判断逻辑都是通用的。
方法论的交付物,不是答案,是工具箱。而可验证性,确保工具箱里的每一件工具都被正确使用。这正是李荣维律师团队构建这一方法论体系的初衷——让合规风控从应对危机的“救火”,成为主动防御的“防火”。
